Shibboleth
Inhaltsverzeichnis
Was ist Shibboleth
Auszug aus Wikipedia
Wikipedia
Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (engl. Single Sign-On). Shibboleth basiert auf einer Erweiterung des Standards SAML.
Allgemein
Die nachfolgende Beschreibung bezieht sich auf folgende Systemvoraussetzungen:
Debian Etch Tomcat 5.5 Shibbileth 1.3.3
IdP Identity-Provider
Anpassungen in der Sources.list
Für die Installation von Tomcat wird das Java-Run-Time-Environment als auch das Java-Development-Kit
benötig. Diese findet sich im non-free Zweig von Debian.
Es muss eventuell die Datei /etc/apt/sources.list angepasst werden.
deb http://ftp.debian.org/debian etch main contrib non-free deb http://security.debian.org/ etch/updates main contrib non-free
Installation von Java
aptitude update aptitude install sun-java5-jdk
Konfiguration
Falls schon eine andere Version von Java installiert ist, kann man mit folgendem Befehl sicher stellen,
dass das Java-Kommando auf das eben installierte zegt:
Auswahl Alternative ------------------------------------------------------- 1 /usr/lib/jvm/java-1.5.0-sun/jre/bin/java * 2 /usr/bin/gij-wrapper-4.1 + 3 /usr/lib/jvm/java-gcj/jre/bin/java --------------------------------------------------------
Mit auswahl der Nummer wird die richtige Version aktiviert. Hier die Nummer 3
Installation von Tomcat
aptitude install tomcat5.5
Konfiguration
/etc/default/tomcat5.5
TOMCAT5_SECURITY=no
Tomcat und SSL
Damit der IdP der mit der Unix-ID des Tomcat-Users läuft, auf die SSL-Zertifikate zugreifen kann,
müssen die Recht noch entsprechend angepasst werden:
Zertifikats-Speicher: /etc/ssl/private
# groupadd ssl-cert # adduser tomcat55 ssl-cert # chgrp ssl-cert /etc/ssl/private # chmod g+rw /etc/ssl/privat
Installation Apache2
# aptitude install apache2 libapache2-mod-jk # a2enmod jk # a2enmod ssl
Wenn die Benutzeranmeldung über einen LDAP realisiert wird, benötigt man noch folgendes Modul:
# a2enmod authnz_ldap
Danach dann einmal:
# /etc/init.d/apache2 force-reload
SP Service-Provider
Bald ;-)
Links
DFN AAI
verteilte Authentifizierung,Autorisierung und Rechteverwaltung (AAR)
Internet2/MACE